Согласно Positive Technologies, сейчас парадигма ИБ меняется в принципе: некоторое время назад сообщество отказалось от идеи построения киберзаборов и пришло к осознанию того, что цель любой системы безопасности состоит в максимально быстром обнаружении атакующего внутри информационных систем, так как в принципе нет системы защиты, которую невозможно взломать.
«На практике в течение последнего года эта идея несколько эволюционировала: мы осознали, что вполне реально выстроить такую систему защиты, которая будет гарантированно не допускать реализации потенциальным злоумышленником конкретных бизнес-рисков», — отметил заместитель генерального директора Борис Симис в ходе своего выступления на пресс-конференции «Кибербезопасность 2020-2021: тенденции и прогнозы».
По его словам, этот подход подразумевает, что любая компания так или иначе может быть взломана в ходе атаки, и задача информационной безопасности — не дать возможности злоумышленнику нанести сколько-нибудь существенный урон. Поэтому тема построения центров мониторинга будет очень активно расти, с большой долей вероятности она будет главенствовать в ближайшие годы.
«В связи с этим на первый план выйдут задачи создания SOC нового типа — в качестве SLA, оперирующих не доступностью в режиме 24/7 или скоростью реакции на инцидент, а намного более конкретным показателем, основанным на гарантированном недопущении реализации злоумышленником неприемлемых для организации рисков. То есть эффективность такого SOC будет оцениваться в буквальном смысле на уровне «да/нет» — реализован риск или не реализован», — сказал Борис Симис.
В этой концепции особое значение приобретают качественные практические киберучения, как единственное мерило эффективности выстроенной системы защиты. Потому что, по словам эксперта, «информационная безопасность, по факту, довольно безответственная отрасль». В информационной безопасности легко скатиться в неконкретность оценок, и только правильно организованные киберучения дают возможность не скатиться к потемкинским деревням и максимально конкретизировать результат.
«И в этом смысле я думаю, что киберучения — единственное мерило увидеть, а что мы делаем. Когда ты зовешь лучших людей, они прям на тебя нападают, и ты видишь, куда ты идешь. И в этом смысле я считаю, что киберучения будут все более и более востребованы. Единственное что, как и в любой теме, тут сразу возникает некое опошливание. Могут быть псевдокиберучения, когда люди типо что-то делают, а на самом деле бумажки перекладывают. Поэтому мы тут всегда настаиваем на очень жестких киберучениях с точки зрения включения максимально профессиональных кадров, чтобы эти киберучения были максимально приближены к реальности. Тут тоже очень много нового. Я считаю, что этот сегмент будет формироваться», — пояснил Борис Симис.
По его словам, киберучения должны перейти в формат 365, чтобы те, кто хочет быть «в теме», могли проводить киберучения не раз-два в год, а постоянно. Кроме того важно отметить, что не только безопасники должны быть в них задействованы. Сейчас наблюдается интерес их ИТ-коллег и бизнес-коллег к тому, что происходит во время атак в организацией в целом.
«Такой подход, в конечном счете, расширяет рынок, качественно его меняя и оставляя право на жизнь только тем решениям и технологиям, которые реально влияют на результат. То есть мы имеем дело со своего рода интерпретацией теории Дарвина на уровне технологий: выживут только те, кто способен вовремя выявить активность злоумышленника, заблокировать его, исключить возможности для развития атаки и в принципе вычистить его из инфраструктуры. И мы, как вендор, также работаем над созданием интеллектуального автоматизированного инструмента, который позволит решать эту задачу быстро и эффективно», — заключил Борис Симис.
